1、什么是“风险分析”?风险分析的目的是识别数据与其它IT资产受到威胁的不同方式,以及这些暴露的后续影响 暴露的解决措施作为”风险管理”的输入一些概念 威胁 概率/可能性/机会 IT资产 脆弱性 影响(C.I.A.)风险 业务后果 记住 没有威胁就没有风险IT风险的组成威胁脆弱性影响风险(安全需求)安全措施风险分析风险管理风险模型电力中断客户查询系统不可用性不支持决策制定业务损失额外工作威胁/脆弱性IT 资产影响业务后果什么是潜在威胁?大型机工作站以太网服务器X.25工作站工作站服务器网桥磁盘阵列小型机网桥打印机帐户X.25X.25为什么要分析IT风险?v以确保IT安全符合成本效益v了解 风险环境
2、:-内部因素,如:-v现有哪些计算机系统?以及为什么?v它们对业务的重要性如何?v它们面临什么威胁?外部因素,如:-v盗窃和损坏的威胁v黑客 的威胁v对外部供应商的依赖IT风险分析需要什么?v项目管理原则的运用:-成立审查指导委员会批准 TOR 和审查范围批准计划和资源需求确定指导委员会会议的日期v维护:-健全的文档管理 一个好的审计轨迹 IT风险分析包含什么内容?IT风险分包括了解-哪些IT资产需要加以保护来自于什么类型的威胁这些威胁如何显现它们发生的可能性导致的业务后果现有的保护措施管理报告v需要检查的系统优先次序表v每个系统以及所依赖的关键资产(硬件、软件、通信、数据、文档、人员)v威胁
3、、脆弱性、影响和业务后果的详细情况和测量 v现有保护措施有效性的评估v固有风险水平的评估风险分析 警告!注意!初始的风险分析会比较昂贵,但.后续审查比较便宜方法 好的方法应提供.防御型的风险分析技术 项目管理框架开展工作的详细指导,包括-v审查问卷v表格和其它文具辅助风险管理-v适当控制的选择v控制实施的优先次序手工方法 优点.便宜,使用方便益于快速/高层评审 缺点.无自动化的文档管理/审计轨迹无自动化的数据处理(电子表格和数据库软件可提供有限的帮助)风险管理的有限帮助(检查列表)更多的依赖于审查人员的经验而不是专门的软件包软件辅助方法 优点:.动化的文档管理/审计轨迹自动化的数据处理风险分析和风险管理的完全整合支持自动化的“如果?”规则 缺点.成本(逐渐降低).v初始采购成本和每年的维护成本v用户培训v强大的 PC和激光打印机此方法会很容易控制任务总结 IT 风险分析-识别和量化安全暴露告知风险管理流程仅是一个“快照”流程-评估系统对业务的重要程度识别IT资产和它们的从属评估威胁和脆弱性的程度 方法-手工软件支持
